没有所谓的捷径
一切都是时间最平凡的累积

漏洞预警 | Apache HTTP Server更新多个安全漏洞公告

本文最后更新:2019年4月3日,已超过2059天未更新,如果文章内容失效,请留言反馈本站。

1.安全漏洞公告

2019年4月1日,Apache HTTP Server更新了包括权限提升在内的多个安全漏洞公告,参考:

https://httpd.apache.org/security/vulnerabilities_24.html

此次更新对应6个CVE:CVE-2019-0211、CVE-2019-0217、CVE-2019-0215、CVE-2019-0197、CVE-2019-0196、CVE-2019-0220。

根据公告,CVE-2019-0211为权限提升漏洞,该漏洞主要存在Apache HTTP Server 2.4.17到2.4.38版本中,在MPM的event、worker和prefork三种模式下,低权限的子进程或线程(包括进程内脚本解释器执行的脚本)中执行的代码,可以通过操作记分板(scoreboard)以父进程(通常是root)的权限执行任意代码,从而实现提权效果,建议及时关注安全更新补丁和相应缓解措施。

2.漏洞相关描述

CVE-2019-0211

根据分析,在Unix系统中运行的Apache HTTP Server 2.4.17到2.4.38版本,低权限的子进程或线程可以通过操作记分板(scoreboard)以父进程(通常是root)的权限执行任意代码,从而实现提权效果,可能导致越权访问或执行恶意代码。

CVE-2019-0217

根据分析,在Apache HTTP Server 2.4.38及之前版本中,mod_auth_digest模块存在条件竞争漏洞,可能允许具有有效凭据的用户使用另一个用户名进行身份验证,从而绕过已配置的访问控制限制。

CVE-2019-0215

根据分析,在Apache HTTP Server 2.4.37和2.4.38版本中,mod_ssl模块在使用TLSv1.3对客户端证书进行验证时,Post-Handshake认证的客户端可能绕过已配置的访问控制限制。

3.漏洞影响范围

影响版本

CVE-2019-0211影响版本:

2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

建议更新到2.4.39以上版本。

CVE-2019-0217影响版本:

2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0

建议更新到2.4.39以上版本。

CVE-2019-0215影响版本:

2.4.38, 2.4.37

建议更新到2.4.39以上版本。

其他早期版本:

Apache httpd 2.2,2017年12月后不再维护安全更新;

Apache httpd 2.0,2013年后不再维护安全更新;

Apache httpd 1.3,2010年后不再维护安全更新;

建议更新到2.4.39以上版本。

其他发行版:

一些Linux发行版中自带有httpd包,比如Red Hat,目前厂商还在评估影响中,参考:

https://access.redhat.com/security/cve/cve-2019-0211

影响分布

通过安恒研究院SUMAP平台针对全球Apache HTTP Server服务的资产情况统计,最新查询分布情况如下:

通过安恒研究院SUMAP平台针对国内Apache HTTP Server服务的资产情况统计,最新查询分布情况如下:

可看到排在前三的是浙江、香港、北京。

4.漏洞缓解措施

威胁等级

高危:攻击者成功利用漏洞可能导致权限提升效果,从而实现越权访问或执行恶意代码等威胁。

安全建议

历史上Apache HTTP Server报过多次漏洞,建议使用该组件的企业和单位及时关注厂商安全更新补丁发布,对于还在运行官方已不再维护安全更新的2.2之前早期版本,建议更新到新的无漏洞版本或是部署必要的安全防护设备拦截恶意攻击。

官方下载:

https://httpd.apache.org/download.cgi

» 站长码字辛苦,有用点个赞吧,也可以打个
» 若转载请保留本文转自:豫章小站 » 《漏洞预警 | Apache HTTP Server更新多个安全漏洞公告》
» 本文链接地址:https://blog.mydns.vip/1587.html
» 如果喜欢可以: 点此订阅本站 有需要帮助,可以联系小站
赞(0) 打赏
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 漏洞预警 | Apache HTTP Server更新多个安全漏洞公告
分享到: 更多 (0)

评论 抢沙发


  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏